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PROCEDE ET DISPOSITIF D'ACCES POUR SECURISER L 1 ACCES AUX 

SYSOEBdES D T INFORMATION 

La presente invention concerne un procede et un 
dispositif pour securiser 1'acces aux systemes d' information. 
Definitions 

Au sens de la presente invention,, on designe d' une 
5 mani&re generale par "applications" des applications logicielles 
dans le domaine des communications. 

Au sens de la presente invention, on designe d' une 
maniere generale par protocole "applicatif " un protocole qui 
regit 1'echange d' information entre applications. 
10 Au sens de la presente invention, on designe d'une 

maniere generale par attaque applicative une attaque qui 
utilise : 

• soit les vulnerability d' un protocole 
"applicatif ", 

15 • soit les vulnerability liees a 1 ' implementation 

par un developpeur d'un protocole "applicatif ", 

soit les vulnerability liees a 1' utilisation 
d'une application, notamment par un administrateur reseau. 
Le prdbleme pose 

20 Contexte : S§curite d'acces aux systemes d' information 


Tous les experts s'entendent sur le fait que le risque 
lie a la securite informatique est en tres forte progression. 

Quels sont les facteurs de croissance de ce risque ? 
Trois facteurs principaux ont ete identifies. 
5 Premier facteur de risque : la croissance 

exponentielle du nombre de pirates. 

Le nombre des internautes a ete multiplie par deux en 
trois ans. lis disposent de boites a outils en libre-service sur 
le net. Les legislations Internationales visant a reduire les 
10 fraudes sont inexistantes ; par exemple au Japon il n'y a pas de 
loi sur la cyber-delinquance. Enfin, on constate un 
developpement d'un nouveau type de pirate dans les lycees et les 
campus universitaires pour qui le piratage est un jeu et cracker 
le plus grand nombre de sites un concours. Ces pirates 
15 informatiques, communement appeles des "script kiddies" n'ont 
que peu de connaissances techniques, mais ils utilisent des 
-boites a outils" de programmes, generalement trouvees sur 
Internet, permettant d'attaquer des systemes informatiques. 

Deuxieme facteur de risque : la mondialisation des 

20 echanges. 

Dans l'ere de l'entreprise communicante et de la 
reduction des couts, les entreprises sont tenues d'utiliser des 
medias de communication efficace du type Internet permettant des 
echanges de mail, des sites de e-commerce, des edi (echange de 
25 documents informatises) . 

Les entreprises echangent de plus en plus de 
documents. Ces documents contiennent de plus en plus 
informations. Ces informations ont de plus en plus de valeur. 

Par ailleurs, les entreprises sont tenues d'aller 
30 vite. Elles ne prennent pas tou jours toutes les precautions 
qu'elles devraient prendre. 

Troisierae facteur oe risque : rouverture des- 

entreprises sur le monde implique que les systemes informatiques 
soient eux aussi de plus en plus ouverts vers l'exterieur. Les 
35 systemes informatiques sont interconnects . Le LAN de 
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l'entreprise (Local Area Network. Reseau local de 1' entreprise) 
devient un des postes du reseau mondial. 

On constate 6galement que les systemes informatiques 
sont de plus en plus complexes. lis pr^sentent de ce fait des 
5 bugs autrement dits trous de s6curite. Par ailleurs des syst&mes 
informatiques complexes sont difficiles Zl administrer et par 
consequent difficiles a securiser. 

La statistique 2001 du CERT (Computer Emergency 
Response Team) a repertori<§, en 2001, 52658 delits, soit une 
10 croissance de 142% par rapport k 2000. 

Comment reussit-on a penetrer un systeme informatique 

La quasi-totalite des attaques de vulnerability peut 
etre repartie en trois classes : 
15 (a) Les attaques exploitant une faiblesse des / 

protocoles utilises (par exemple le Sniffing sur IP) - Le 
Sniffing sur IP est une technique qui consiste a intercepter une ; 
communication sur un reseau pour obtenir des informations. $ 
(b) Les attaques exploitant un bug se situant dans 1 
20 la pile TCP/IP du systeme d' exploitation. Certaines attaques 
sont connues sous le nom de « Ping de la mort », « Teardrop ». 

On rappelle brievement qu' au sens de la pr^sente - 

invention les sigles : 

• TCP : Transmission Control Protocol, designe un 
25 Protocole de transport (niveau OSI/4) utilise dans la famille de 

protocoles TCP/IP, 

♦ TCP/IP : Transmission Control Protocol /Internet 
Protocol, designe une famille de protocoles utilises dans 
1' interconnexion de reseaux de type IP. 

30 - (c) Les attaques "applicatives" utilisant les 

donn6es transportees. On peut notamment mentionner des attaques 
"applicatives" exploitant des bugs dans les applications de 
communication des systemes, par exemple des trous de s6curit<§ 
dans les serveurs DNS bind ou dans les serveurs Web IIS. On 
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rappelle brievement qu'au sens de la presente invention les 
sigles : 

• DNS (Domain Name System) designe un Protocole 
"applicatif" permettant la conversion de nom de systeme (par 
exemple : www.yahoo.com) en adresse IP (par exemple : 

123.234.231.135) , 

. IP (Internet Protocol) designe un protocole de 
reseau (Niveau OSI/3) utilise sur le reseau Internet. 

II ressort des statist iques que la grande majorite des 
vulnerabilites decouvertes se trouvent au niveau des attaques 
"applicatives". Ainsi, la principale menace se situe au niveau 
des trous de securite des applications de communication. 

Tel est le probleme pose par la presente invention : 
reduire les risques des attaques "applicatives". 
15 L' art anterieur 

On connait deux technologies pour resoudre le probleme 
pose et assurer la securite des reseaux IP : 

La technologie, ci-apres denornmee technologie 

"Stateful", 

20 La technologie, ci-apres denornmee technologie "Proxy". 

(a) La technologie "Stateful" autrement dit maintien 
d'une table de connexion active 

(al) La technologie de "filtrage statique de paquet" 

(static packet filtering) 
25 Les premieres fonctionnalites de protection des 

reseaux IP etaient integrees dans des routeurs. Les routeurs 
integrent un mecanisme de filtrage de paquets IP statiques. En 
fonction des informations lues dans l'entete des paquets IP, au 
niveau des entetes Reseau et Transport, le paquet est accepte ou 

30 non grace a une liste de regies de filtrage definie par un 
administrateur. L' inconvenient principal de cette technologie 
est son c6te statique. Elle ne peut rattacher un "paquet de 
reponse" a un "paquet de requete" emis quelques instants plus 
t6t. Par consequent, lorsqu'on utilise une technologie de 

35 "filtrage statique de paquet", on est oblige d' accepter tous les 
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"paquets de r6ponse" sans pouvoir les rattacher aux requetes 
precederament emises. II en resulte un probleme en terme de 
securite puisqu'il suffit, par exemple, de positionner le 
drapeau ACK dans l'entete TCP d'un paquet pour que ce paquet 
5 soit accept e par le routeur. On rappelle brievement qu'au sens 
de la pr6sente invention le sigle ACK (ACKnowledgement, Accusd 
de reception) designe un drapeau utilise dans une entete de type 
TCP* 

(a2) La technologie "Stateful" 

10 La technologie "Stateful" surmonte en partie cet 

inconvenient en gerant une table de connexions actives, qui 
permet de rattacher les "paquets de reponse" aux "paquets de 
requete" emis precedemment . De plus, cette technologie implique 
gen6ralement la lecture d' informations dans les donnees 

15 transportees, par opposition aux informations contenues dans 
1'en tete du paquet, pour permettre la gestion des connexions 
secondaires, basees sur des ports dynamiques. Par exemple, tout, 
transfert FTP utilise une connexion secondaire dynamique, don% 
les ports sont negocies via la connexion de contrdle sur le port 

20 tcp/21. On rappelle brievement qu'au sens de la presente 
invention le sigle FTP (File Transfer Protocol) designe un 
protocole utilise pour transferer des fichiers sur un reseau de 
type TCP/IP. 

La technologie "Stateful" est generalement implementee 
25 dans le noyau des systemes, voire embarquee dans un systeme 
temps reel, ce qui assure de bonnes performances en termes de 
debit- En revanche la technologie "Stateful" ne permet pas 
d' assurer le respect des protocoles "applicatifs" au cours d'un 
echange de donndes, puisque la technologie "Stateful" se limite 
30 a extraire des donnees transportees les informations necessaires 
k 1' etablissement et au maintien des connexions secondaires. Or, 
ainsi que cela a 6t& explique, les risques d'attaque se situent 
principalement au niveau des donnees transportees. 
(b) La technologie "Proxy" 



Dans le cas de la technologie "Proxy", autrement 
appelee technologie "Mandataire", le client ne s'adresse pas 
directement au serveur. Par exemple, le browser appele aussx 
navigateur, se connecte au serveur Web egalement appele serveur 
5 reseau, en passant par un "Proxy" qui va effectuer la requete a 
sa place et lui renvoyer la reponse. 

Cette technologie permet done de filtrer les donnees 
transports, ce qui a un interet evident en term* de securite. 
Par contre, son implementation en tant qu' application sxtuee 
10 "au-dessus" d'un systeme d' exploitation, la rend beaucoup moins 
performante en termes de debit que la technologie "Stateful". 
Get inconvenient majeur de la technologie "Proxy" entraine des 
performances insuffisantes par rapport aux debits recherches sur 

les reseaux IP. 
15 Conclusion 

On peut done resumer de la maniere suivante les 

inconvenients des solutions connues. 

La securite de la technologie "Stateful" est 

insuf f isante . 

Le debit de la technologie "Proxy" est insuffisant 

La solution selon 1' invention 

La technologie proposee par la presente invention sera 
ci-apres designee par le sigle FAST, ou egalement en langue 
anglaise : Fast Applicative Shield Technology- La technologie 
25 FAST resout le probleme pose en evitant les inconvenients des 
technologies connues "Stateful" et "Proxy ". La technologie FAST 
permet de securiser l'acces aux systemes d' information en 
evitant les risques d' attaques "applicatives" et en limitant les 
pertes de debit. 
30 Precede 

L' invention conceme un precede pour securiser Vacces 

logique a des informations e t/ou a des ressources xnxoxu^.-x^ 

d'un ensemble d' equipements informatiques en ralentissant le 
moins possible l'acces logique. L' ensemble d' equipements 
35 informatiques echange des donnees avec un reseau de 
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telecommunication informatique, via un dispositif d'acces. Les 
donnees comportent des donnees transportees conformement a au 
moins un protocole applicatif et des donnees de transport. Le 
dispositif d'acces comporte un systeme d' exploitation . 
5 Le proced<§ selon 1' invention comprend les etapes 

suivantes : 

l'etape de definir pour chaque protocole 
applicatif , un automate & etat fini, 

l'etape de modeliser, sous la forme d'un modele, 
10 chaque automate a etat fini, 

l'6tape de generer au moyen d'un interpreteur, a 
partir de chaque modele, un module d' analyse de chaque protocole 
applicatif, 

l'etape de filtrer, dans le systeme 
15 d' exploitation, les donnees transportees, au moyen des modules 
d' analyse. 

De preference, selon 1' invention, le procede cpmprend 
en outre l'etape de verifier au moyen des modules d' analyse la 
conformite des donnees transportees par rapport aux protocoles 
20 applicatif s concernes. •;: 

De preference, selon l 1 invention, le procede comprend 
en outre l'etape de restreindre au moyen du module d' analyse les 
possibilites offertes par un protocole applicatif. 

Grace a la combinaison de ces deux f onctionnalites 
25 (Verifier, et Restreindre), la technologie selon 1' invention 
permet de detecter et de bloquer un nombre important d'attaques 
"applicatives" . II a pu etre 6tabli que ces deux f onctionnalites 
permettent de detecter et de bloquer 90% des attaques connues 
sur les serveurs Web Apache et IIS sans qu'il soit necessaire de 
30 leur int^grer une "base de signature d'attaques" comme dans le 
cas des systemes de detection d' intrusion. 

De preference, selon 1' invention, le procdde comprend 
en outre l'etape, pour un administrates: reseau, de paramdtrer 
les modules d' analyse en fonction de restrictions 
3 5 predetermines . 
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Dispositif: 

L r invention concerne egalement un dispositif d'acces 
pour securiser l'acc^s logique a des informations et/ou a des 
ressources inf ormatiques d' un ensemble d' equipements 
5 inf ormatiques en ralentissant le moins possible l'acces logique. 
L' ensemble d' equipements inf ormatiques ^change des donn6es avec 
un reseau de telecommunication informatique, via le dispositif 
d'acces. Les donn6es comportent des donnees transport£es 
conformement a au moins un protocole applicatif et des donnees 
10 de transport. Le dispositif d'acces comporte : 

un systeme d' exploitation comportant un module 
d' analyse approprie pour chaque protocole applicatif, 

des moyens de filtration pour filtrer f dans le 
systeme d' exploitation, les donnees transporters , au mdyen des 
15 modules d' analyse. 

De preference, selon l 1 invention, chaque module 
d' analyse implemente un automate a etats finis representatif 
d'un protocole applicatif determine. 

De preference, selon 1' invention, les modules 
20 d' analyse comportent des premiers moyens de traitement 
informatique pour verifier la conformity des donnees 
transport<§es par rapport aux protocoles applicatif s concernes. 

De preference, selon l 1 invention, les modules 
d' analyse coit^ortent des seconds moyens de traitement 
25 informatique pour restreindre les possibilites offertes par un 
* protocole applicatif. 

De preference, selon l f invention, le dispositif 
d'acces comprend en outre des moyens de parametrage permettant a 
un administrateur reseau de parametrer les modules d 7 analyse en 
30 fonction de restrictions pr^determinees. 
Description detaillee 
__ __ _ _ D , autres carac teristiques et avantages de 1 1 invention 

apparaitront a la lecture de la description de variantes de 
realisation de 1' invention donn£es £ titre d'exemple indicatif 
35 et non limitatif, et de la 


10 


figure 1 qui represente de maniere schematique un 
reseau local d'entreprise 3 proteg6 par un dispositif 6 selon 
1' invention contre des attaques provenant d f un reseau de 
communication informatique de type Internet, 

figure 2 qui represente la structure des donnees 4 
echangees via un dispositif 6 selon 1' invention, 

figure 3 qui represente de maniere schematique un 
dispositif 6 selon 1' invention. 

figure 4 qui represente de maniere schematique la 
methode de construction d'un module d' analyse 14 a partir d'un 
automate a <§tats finis. 

On va maintenant decrire en se referant aux figures et 
notamment a la figure 1 un reseau local d'entreprise 3 protege .. 
par un dispositif 6 selon 1' invention contre des attaques-. 
15 provenant d'un reseau de communication informatique 5 de type 
Internet . 

Le dispositif d'acces 6 a pour objet de securiser 
l'acc^s logique a des informations 1 et/ou a des ressources .* 
informatiques 2 d'un ensemble d' equipements informatiques 3 en A- 

20 ralentissant le moins possible ledit acces logique. 

L' ensemble d' equipements informatiques 3 echange des 
donnees 4 avec un reseau de telecommunication informatique 5, 
via ledit dispositif d'acces 6. Dans le cas de la variante de 
realisation decrite le reseau de telecommunication informatique 

25 5 est du type Internet. Les Equipements informatiques 3 peuvent 
etre des serveurs, des postes de travail etc .... 

De maniere connue en soi, les donnees 4 comportent des 
donnees transporters 7 conformement a au moins un protocole 
applicatif 8 et des donnees de transport 9 (voir figure 2) . 

30 Le dispositif d'accds 6 selon 1' invention comprend un 

systdme d' exploitation 10. Le systeme d' exploitation 10 comporte 
des modules d' analyse 14 appropri6s pour chaque protocole 
applicatif 8 utilise. Les modules d' analyse 14 du systeme 
d' exploitation 10 filtrent les donnees transporters 7. 
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Chaque module d' analyse 14 implemente un automate a 
etats finis 11 representatif d'un protocole applicatif 8 
determine. Pour realiser un module d' analyse 14, on modelise 
sous la forme d'un modele 12 chaque automate a etats finis 11, 
5 notamment en utilisant une matrice de transition des etats. Puis 
on genere au moyen d'un interpreteur 13, a partir de chaque 
modele 12, le module d' analyse 14 de chaque protocole 
applicatif 8 (voir figure 4) . 

Chaque module d' analyse 14 comporte des premiers 
10 moyens de traitement informatique 17 pour verifier la conformite 
des donnees transportees 7 par rapport aux protocoles 
applicatifs 8 concernes. Chaque module d' analyse 14 comporte en 
outre des seconds moyens de traitement informatique 18 pour 
restreindre les possibility offertes par un protocole 

15 applicatif 8. 

Le systeme d' exploitation et les modules d' analyse 14 
associes constituent des moyens de filtration des donnees 

transportees 7. 

Le dispositif d'acces 6 comprend en outre des moyens 
20 de parametrage 19. Ces moyens de parametrage 19 permettent a un 
administrateur reseau 15 de parametrer les modules d' analyse 14 
en fonction de restrictions predetermines 16, ainsi que cela 
sera ci-apres pr6cis6. 

Grace au dispositif d'acces 6 selon 1' invention, il 
25 est possible de verifier le bon respect des protocoles 
applicatifs, ce qui permet de bloquer un tres grand nombre 
d'attaques "applicatives" sans les connaltre, notamment celles 
violant les RFC PNormes IP"). On rappelle brievement qu'au 
Sens de la presente invention le sigle RFC (Request For Comment) 
30 designe differents documents normatifs dans lesquels sont 
specifies les diff erents protocoles de la famille TCP/IP . 

De plus , ia technologie selon ±' invention pirrmelr- dsr 

restreindre les possibilites offertes par une application. Par 
exemple, la technologie selon 1' invention permet de limiter les 
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conimandes disponibles sur un protocole "applicatif " ou de 
n'autoriser l'acces qu'a certaines donnees, etc... 

Grace a la combinaison de ces deux fonctionnalites 
(Verifier et Restreindre) , la technologie selon 1' invention 
5 permet de detecter et de bloquer un nombre important d' attaques 
"applicatives" . II a pu etre 6tabli que ces deux fonctionnalites 
permettent de detecter et de bloquer 90% des attaques connues 
sur les serveurs Web Apache et IIS sans qu'il soit n^cessaire de 
leur integrer vine ^base de signature d f attaques" comme dans le 
10 cas des systemes de detection d' intrusion. 

La technologie selon 1' invention a ete developp6e sur 
un S yst£me d f exploitation Linux. II est a la portee de l'homrne 
de metier de la mettre ceuvre sur d'autres systemes du meme type. 
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NOMENCLATURE 


Groupe nominal 

JSSSA. • A.NU1U • 

informations 

-1 
X 

ressources informatiques 

o 

ensemble d' equipements informatiques 


donnees 

v» 

4 

r6seau de telecommunication informatique 

c 
O 

dispositif d' acc6s 

/r 
O 

donnees transportees 

/ 

protocole applicatif 

Q 

donnees de transport 

Q 

y 

sysueme a expioiLduion 


automate & etats finis 

11 

modele 

12 

interpreteur 

13 

module d' analyse 

14 j 

administrateur reseau 

15 

restrictions predetermines 

16 

premiers moyens de traitement informatique 

17 

seconds moyens de traitement informatique 

18 

moyens de par amet rage 

19 
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HEVENDIC&TIONS 

1. Proceed pour securiser 1' acces logique a dies 
informations (1) et/ou a des ressources informatiques (2) d'un 
ensemble d' equiperaents informatiques (3) en ralentissant le 
mo ins possible ledit acces logique ; 

ledit ensemble d' equipements informatiques (3) 
echangeant des donnees (4) avec un reseau de telecommunication 
informatique (5)/ via un dispositif d' acces (6) ; 

lesdites donnees (4) comportant des donnees 
transportees (7) conformement a au moins un protocole applicatif 
(8) et des donnees de transport (9) ; 

ledit dispositif d' acces (6) comportant un systeme 
d' exploitation (10) ; 

ledit procede comprenant les etapes suivantes : - 
1'etape de definir pour chaque protocole- 
applicatif (8) , un automate & etats finis (11) , 

l r etape de modeliser r sous la forme d'un modeled 

(12) , chaque automate a etats finis (11), 

l'etape de generer au moyen d'un interpret eur'l 

(13) r a partir de chaque modele (12) , un module d' analyse (14) 
de chaque protocole applicatif (8), 

l'etape de filtrer, dans ledit systeme 
d' exploitation (10), lesdites donnees transportees (7), au moyen 
desdits modules d' analyse (14). 

2. Procede selon la revendication 1 ; ledit procede 
comprenant en outre : 

- l'etape de verifier au moyen desdits modules 
d' analyse (14) la conformite desdites donnees transportees (7) 
par rapport auxdits protocoles applicatif s (8) concernes. 

3. Procede selon 1'une quelconque des revendications 1 
ou 2 ; ledit procede comprenant en outre : 

- l'etape de restreindre au moyen dudit module 
d' analyse (14) les possibilites offertes par un protocole 
applicatif (8) . 
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4. Procede selon la revendication 3 ; ledit procede 

comprenant en outre : 

l'etape, pour un administrateur reseau (15), de 
parametrer lesdits modules d' analyse (14) en fonction de 
5 restrictions pr^determinees (16) . 
Dispositif 

5. Dispositif d' acces (6) pour securiser 1' acces 
logique a des informations (1) et/ou a des ressources 
informatiques (2) d'un ensemble d' equipements informatiques (3) 

10 en ralentissant le moins possible ledit acces logique ; 

ledit ensemble d' equipements informatiques (3) 
echangeant des donnees (4) avec un reseau de telecommunication 
informatique (5), via ledit dispositif d' acces (6) ; 

lesdites donnees (4) comportant des donnees 
15 transportees (7) conformement a au moins un protocole applicatif 
(8) et des donn6es de transport (9) ; 

ledit dispositif d'accdss (6) comportant: 

un systeme d' exploitation (10) comportant un 
module d' analyse (14) approprie pour chaque protocole applicatif 
20 (8), 

des moyens de filtration pour filtrer, dans ledit 
systeme d' exploitation (10), lesdites donnees transportees (7), 
au moyen desdits modules d' analyse (14). 

6. Dispositif d' acces (6) selon la revendication 5 ; 
25 chaque module d' analyse (14) implementant un automate a etats 

finis (11) representatif d'un protocole applicatif (8) 
determine . 

7. Dispositif d' acces (6) selon l'une quelconque des 
revendications 5 ou 6 ; lesdits modules d' analyse (14) 

30 comportant : 

des premiers moyens de traitement informatique 
(17) pour verifier la conformite desdites donnees transportees 
(7) par rapport auxdits protocoles applicatifs (8) concemes. 
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8. Dispositif d'acces (6) selon l'une quelconque des 
revendi cat ions 5 a 7 ; lesdits modules d' analyse (14) 
comport ant : 

des seconds moyens de trait ement informatique (18) 
pour restreindre les possibilites offertes par un protocole 

applicatif (8). 

9. Dispositif d'acces (6) selon la revendication 8 ; 
ledit dispositif d'acces (6) comprenant en outre : 

des moyens de par amet rage (19) permettant a un 
administrateur reseau (15) de parametrer lesdits modules 
d' analyse (14) en fonction de restrictions pred«§terminees (16) . 
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